加密货币武器化：恶意npm包利用以太坊智能合约实现隐蔽通信

ReversingLabs研究人员发现两个恶意npm包利用以太坊（Ethereum）智能合约隐藏并传播恶意软件。这两个名为colortoolsv2和mimelib2的软件包于2025年7月被识别，展现了开源安全攻防战中的新战术。

恶意软件包伪装成实用工具

攻击活动始于7月7日发布的colortoolsv2。该软件包被npm下架后，攻击者迅速替换为包含相同恶意代码的mimelib2。研究人员指出："这两个npm包滥用智能合约隐藏恶意指令，在受感染系统上安装下载器恶意软件。"

这些软件包伪装成实用程序库，但仅包含实现恶意目的的必要文件。与合法npm工具不同，攻击者并未着力使其看起来有用，而是通过创建看似可信的GitHub仓库来营造合法性假象。

智能合约充当隐蔽C2服务器

传统恶意npm包通常从硬编码URL获取第二阶段恶意软件，防御者可通过源代码审查识别可疑字符串。但ReversingLabs指出："新手法在于利用以太坊智能合约托管包含恶意指令的URL，以下载第二阶段恶意软件。"

以太坊智能合约——可自动执行的公开去中心化程序——被改造成隐蔽的命令与控制（C2）服务器。通过将恶意指令嵌入智能合约，攻击者确保其基础设施比传统服务器更具弹性且更难摧毁。

报告回顾称："早在2023年，我们就观察到Python包中存在类似行为模式，它们包含指向秘密GitHub代码片的Base64加密URL，用于执行恶意代码下载。"智能合约代表了该战术的最新演进。

GitHub虚假信誉工程

除npm外，攻击者还在GitHub上投入大量资源实施欺骗。例如solana-trading-bot-v2仓库看似拥有数千次提交、活跃贡献者和大量星标的流行加密货币交易工具。但研究人员发现："所有这些细节都是伪造的。"

• 数十个7月同期创建的账户为该仓库加星和分叉，但大多仅包含"Hi there"的README文件
• 项目的数千次提交主要由琐碎文件变更构成，如重复创建和删除LICENSE文件以模拟持续开发
• 用户slunfuedrac被确认为向项目依赖项添加colortoolsv2和mimelib2的账户

ethereum-mev-bot-v2、arbitrage-bot和hyperliquid-trading-bot等其他仓库也采用相同虚假活动模式引诱开发者。

防御门槛被抬高

通过将社会工程（伪造GitHub信誉）与技术创新（以太坊智能合约作为C2）相结合，攻击者抬高了防御门槛。依赖开源代码的开发者不能仅凭星标、分叉或提交次数等表面信任信号评估项目。ReversingLabs研究人员警告："这凸显了恶意行为者在探测开源仓库和开发者时，其检测规避策略正在快速演进。"